Home » Sicurezza Web: Same Origin Policy e CSRF

Sicurezza Web: Same Origin Policy e CSRF

Navigare in sicurezza nel web richiede una comprensione di numerosi concetti e funzioni. Due di quelli, che definiremmo “chiave”, sono la “Same Origin Policy” (in italiano Regola della Stessa Origine) e gli attacchi di tipo “Cross-Site Request Forgery” (CSRF). Questi due elementi sono fondamentali per comprendere la protezione dati online. Andiamo a conoscerli assieme:

Banner Pubblicitario

Politica della stessa origine

La “regola della stessa origine” determina l’interazione tra un documento o uno script caricato da una origine può interagire con una risorsa di diversa origine. Questo è un concetto critico nel modello di sicurezza del web.
Facciamo un esempio: considera un sito web

https://esempio.com

. Se carichi un altro sito web in una nuova scheda, come 

https://altro-sito.com

, la politica della stessa origine impedisce a 

https://altro-sito.com

 di accedere ai dati di 

https://esempio.com

a meno che non siano esplicitamente condivisi.
Tutto ciò è essenziale per prevenire quello che è noto come “Cross-Site Scripting” (XSS), un attacco in cui uno script malevolo viene iniettato in una pagina web riuscendo ad accedere facilmente ai dati sensibili dell’utente.

CSRF

 

Attacchi CSRF

I CSRF, o Cross-Site Request Forgery, sono una tipologia di attacco malevolo che inganna la vittima nell’invio di richieste indesiderate al server web. Questo può portare a innumerevoli risultati dannosi, come la modifica delle impostazioni dell’account dell’utente o persino il furto delle credenziali di accesso.
Un esempio di attacco CSRF? Eccone uno semplice: un link malevolo nascosto in un’e-mail o in un sito web. L’utente, cliccando il link, invia una richiesta al server web che sembra provenire dall’utente stesso. Se l’utente è attualmente autenticato sul sito web, il server tratterà la richiesta come legittima.
Come possiamo allora difenderci da questi attacchi?

Protezione dai CSRF

Per proteggere i tuoi dati e navigare in sicurezza, è importante comprendere questi concetti e capire come prevenire questi attacchi. Fare attenzione ai link su cui clicchi e assicurarti di disconnetterti dai siti web quando hai finito di utilizzarli, sono solo alcuni dei più semplici, ma efficaci, metodi per garantire la sicurezza dei tuoi dati sensibili.
Inoltre, molti siti web già implementano misure di sicurezza per prevenire gli attacchi CSRF, come l’uso di token CSRF. Ad esso corrisponde un valore unico e casuale che viene associato a ogni richiesta HTTP, rendendo impossibile per il malintenzionato prevedere il valore del token e quindi inviare una richiesta valida al server.

Adesso ne sappiamo decisamente qualcosa di più!
Mantenendo aggiornate le tue conoscenze su questi temi, potrai navigare in sicurezza e proteggere le tue informazioni personali. La sicurezza online è una responsabilità condivisa. Proteggiti e proteggi gli altri rimanendo informato.